-
Junior Member
- Вес репутации
- 62
Упал рабочий стол и старые логи
Наконец на работе отдали комп на растерзание. Сразу с лету запустила Курит, что там поубивалось, затем первый скрипт АВЗ. ВСЕ... После этого пришлось срочно отбросить этот комп занятся другими.
И вот я щас странной ситуации - Рабочий стол улетел,открывается сразу папка мои документы : - ( ) ... Восстановление стола не помогло.
Вот что мне лучше сделать щас - Выслать старый лог (от 20го числа), ибо чтото упало в карантин, что то в инфектед...
или - Начать с нуля? (но ведь вы не увидете что убилось и что попало в старые логи...)
[I]Лень - это привычка отдыхать заблаговременно...[/I]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Зачем с нуля? После выполнения первого лога ничего не менялось, возможность запускать программы не пропала - значит доделывайте оставшиеся логи и прикрепляйте сюда.
Можно и карантин сразу загрузить.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
По твоему личному запросу, высылаю ЭТИ логи (правила читала).
Жду
Карантин выслан...
Последний раз редактировалось totoshka; 12.07.2007 в 01:28.
[I]Лень - это привычка отдыхать заблаговременно...[/I]
-
Профиксить в Hijackthis:
Код:
F2 - REG:system.ini: Shell=
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
O21 - SSODL: Shell - {CC4E4F6D-1C53-4B69-A08D-B8679566F414} - mswshell.dll (file missing)
Думаю это восстановит раб. стол.
Если не поможет , то AVZ - Восст. системы -- п.5,8 отметить - Выполнить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
O21 - SSODL: Shell - {CC4E4F6D-1C53-4B69-A08D-B8679566F414} - mswshell.dll (file missing)
Перезагрузитесь.
Поищите файл C:\WINDOWS\system3 через AVZ.
Если найдется - пришлите по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Уже выполнила совет ПавлаА:
Профиксить в Hijackthis:
Код:
F2 - REG:system.ini: Shell=
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)С
O21 - SSODL: Shell - {CC4E4F6D-1C53-4B69-A08D-B8679566F414} - mswshell.dll (file missing)
Стол восстановлен
Добавлено через 34 минуты
Bratez: Пофиксила . System3 на диске С нет.
Последний раз редактировалось totoshka; 02.07.2007 в 18:31.
Причина: Добавлено сообщение
[I]Лень - это привычка отдыхать заблаговременно...[/I]
-
Тогда пофиксите еще
Код:
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system3
и наверно всё, я больше ничего подозрительного не вижу.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Теперь наверное, прогнать все правила?
[I]Лень - это привычка отдыхать заблаговременно...[/I]
-
Да, чтобы сомнений не осталось.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось totoshka; 17.07.2007 в 18:29.
[I]Лень - это привычка отдыхать заблаговременно...[/I]
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
DeleteFile('c:\documents and settings\all users\documents\settings\arm32.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
и вы выполняли рекомендации Bratez?
если нет,то выполните.
Последний раз редактировалось Muzzle; 03.07.2007 в 16:03.
-
-
Junior Member
- Вес репутации
- 62
эээ... в этой теме вроде никто скриптов не давал... только советы пофиксить... так что выполню сейчас...
Последний раз редактировалось totoshka; 03.07.2007 в 16:27.
[I]Лень - это привычка отдыхать заблаговременно...[/I]
-
Вы это фиксили?
Код:
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system3
Оно опять в логах сияет. И про hosts я, каюсь, забыл.
Выполните такой скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system3','');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки прикрепите в тему файл boot_clr.log из папки с AVZ.
Если карантин будет не пустой - пришлите по правилам.
Потом такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system3');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
ClearHostsFile;
RebootWindows(true);
end.
и после перезагрузки логи еще раз.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
свежие логи
карантин выслан
файл boot_clr.log из папки с AVZ не крепится, но он не большой - вот он:
Quarantine path: \??\C:\Documents and Settings\sergei\Desktop\Свежак\AVZ\Quarantine\2007-07-03\
QuarantineFile \??\C:\WINDOWS\system3 - failed (0xC0000034)
QuarantineFile \??\C:\WINDOWS\system3 - failed (0xC0000034)
-- End --
После последнего скрипта, комп не показал рабочий стол, пришлось перегрузить еще раз. Последние логи делались уже с последним обновлением, и в карантин упал файл.
Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
[I]Лень - это привычка отдыхать заблаговременно...[/I]
-
Что ж такое, опять Hosts как будто и не чистили...
Выполните скрипт:
Код:
begin
ClearQuarantine;
ClearHostsFile;
BC_QrSvc('MySql');
BC_QrSvc('TAPI_Server');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам.
I am not young enough to know everything...
-
-
В Файл hosts кто-то гадит. Можно FileMon скачать и посмотреть.
Чистый ХР в очередной раз - это круто. Есть ощущение, что он лицензионный. Неплохо бы хотя бы один SP накатить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Bratez
Что ж такое, опять Hosts как будто и не чистили...
Выполните скрипт:
Пришлите карантин по правилам.
Отправлен.
Свежие логи приложены.
СПАСИБО.
В связи с тем, что что то там не вычищается, проверила 2мя еще программами, в надежде, что поможет:
---------------------------------------------------------
Анализ программами AdAwareSe:
Win32.Trojan.Delf Найден объект!
Тип : Ключ регистра
Дата :
Категория : Malware
Комментарий :
Корн.ключ : HKEY_CLASSES_ROOT
Объект : clsid\{21384d29-1240-2d4f-a15c-17e42823d523}
Win32.TrojanSpy.BZub Найден объект!
Тип : Ключ регистра
Дата :
Категория : Monitoring Tool
Комментарий :
Корн.ключ : HKEY_CLASSES_ROOT
Объект : appid\{21384d29-1240-2d4f-a15c-17e42823d523}
---------------------------------------------------------------------------------------
Анализ программы SpyBot Search And Destroy
Cimuz: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control
GEZBill.Fake: Класс ID (Ключ реестра, nothing done) HKEY_CLASSES_ROOT\CLSID\{21384D29-1240-2d4f-A15C-17E42823D523}
Microsoft.Windows.IEFirewallBypass: Настройки (Значение
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List\C:\Program
t Explorer\IEXPLORE.EXE
Microsoft.Windows.IEFirewallBypass: Настройки (Значение
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List\C:\Program
t Explorer\IEXPLORE.EXE
Microsoft.Windows.Security.InternetExplorer: Настройки (Изменение
HKEY_USERS\S-1-5-21-1229272821-1708537768-725345543-1003\Software\Microsoft\Internet
N\iexplore.exe!=W=1
TelekomBill.Fake: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control
TelekomBill.Fake: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control
Win32.ProAgent.21: Настройки удалителя (Ключ реестра,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\&RQ
Win32.RAdmin.Zenworks: Библиотеки (Файл, nothing done) C:\WINDOWS\system32\raddrv.dll
Добавлено через 13 минут
Сообщение от
PavelA
В Файл hosts кто-то гадит. Можно FileMon скачать и посмотреть.
Скачала, что и как смотреть?
Сообщение от
PavelA
Чистый ХР в очередной раз - это круто. Есть ощущение, что он лицензионный. Неплохо бы хотя бы один SP накатить.
Да с работы комп, постоянно работали, не подлезть было...
Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
[I]Лень - это привычка отдыхать заблаговременно...[/I]
-
В логах ничего не наблюдаю. Грустно как-то становится.
То, что пишет Adware, можно прочистить, но основного не видно.
Пишу про FileMon.
1. Чистим файл Hosts.
Можно через Avz
Код:
begin
ClearHostsFile;
end.
2.Запускаем FileMon. Меню Volumes - оставляем галочку только на диске С
3.Далее Options - filter - в первой строчке hosts.
Пробуем запустить IE, какие-либо другие программы
4. Смотрим, кто туда пишет. Если находим, меню File -- Save -- лог присылаем.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
4. Смотрим, кто туда пишет.
ээээ... более поподробней тут можно
Какойто определенный путь надо увидеть?
[I]Лень - это привычка отдыхать заблаговременно...[/I]
-
в колонке Request,если появятся записи WRITE то сохраните лог.
-